サイバーセキュリティとクラウドセキュリティ戦略

はじめに

本記事は「クラウドセキュリティ最前線！SASE、SSEなどのトレンドを語ろう by Netskope Advent Calendar 2024」に沿ってクラウドセキュリティについて記載しています。

クラウドセキュリティとは、クラウド環境におけるインフラストラクチャやアプリケーションを保護するためのセキュリティ対策や関連する技術の総称です。

クラウドセキュリティを実現するためには、クラウドサービスが提供しているプラットフォームの特徴を理解した上で、セキュリティ、ガバナンス、コストの観点でバランスをとるアプローチが重要です。

本記事では、新しいセキュリティモデルの在り方というよりは、サイバーセキュリティや企業でクラウドセキュリティを実現するための戦略についてまとめています。

高度化するサイバー攻撃と企業のセキュリティ戦略

昨今、高度化するサイバー攻撃の背景を踏まえて、ICTを活用する企業では、セキュリティに対するマインドチェンジが求められていると思います。

従来セキュリティに関するコストは、コストセンターとして位置付けられることが多く、費用対効果の観点から積極的にセキュリティ投資を実行できるのは、大企業など資金的な余裕がある一部の組織に限られていました。

しかし、近年のサイバー攻撃の増加から、セキュリティは単なる「コスト」ではなく、競争優位性を確保するための重要な投資領域と見なされつつあります。

さらに、ゼロトラストアーキテクチャやSecure Access Service Edge（SASE）¹といった新しいセキュリティモデルの採用は、企業の業務効率やリモートワーク環境の改善にも寄与するため、単なるセキュリティ対策にとどまらず、事業成長の一助として捉えられるようになっています。

セキュリティ要件を理解する

前提として、クラウドセキュリティを考えるにあたり企業が行なっている事業領域や組織の規模によって、セキュリティ要件が大きく異なる点を理解することが重要です。

例えば、スタートアップ企業と大規模なエンタープライズ企業では、課題の優先事項や投資できるリソースは大きく変わります。

スタートアップ企業では、ビジネスを軌道に乗せることが求められる一方、コストやリソースが限られているため、クラウドサービスの活用が現実的な選択肢となります。

一方で、大規模なエンタープライズ企業では、既存のオンプレミス環境との統合やより高度なコンプライアンス要件に対応するためのセキュリティ対策を求められる場合があります。

また、クラウドセキュリティは業界特有の要件にも影響を受けます。金融業界の場合、カード会員情報を適切に管理するために、PCI DSSなど国際的なクレジット産業向けのデータセキュリティ基準を遵守する必要があります。

医療業界では米国を例にすると、機密情報や患者の健康データのプライバシーを守る仕組みとして、HIPAA準拠が不可欠です。製造業などでは、IoTデバイスやサプライチェーンの保護が課題です。

従って企業は、事業の要件に適合するためのクラウドセキュリティ戦略を立案する必要があります。

リーダーシップ

セキュリティ施策を進める上で一番重要なのは、経営陣やトップに立つ人のセキュリティ冥利に尽きると思います。

例えば、経営陣やCTOがセキュリティに関心がない場合、セキュリティ施策に対する理解が得られないことで、十分な予算やリソースが確保できません。

その結果、全社的なリスクも高まりセキュリティを推進するエンジニアなどのモチベーションは下がることで、人も辞めていくでしょう。

これを防ぐためには、経営層がセキュリティの重要性を理解し、組織全体で「セキュリティ・バイ・デザイン²」の文化を作ることが求められます。具体的には、以下のような取り組みが有効です。

• トップダウンのリーダーシップ
  • 経営陣が自らセキュリティ施策の必要性を発信し、全社的な取り組みとして推進する姿勢を示す
• 教育と意識向上
  • 惰性的な教育ではなく、実効性の高い教育
• 予算とリソースの確保
  • 適切なソリューションやセキュリティ人材を確保するための予算
• 継続的なリスクアセスメント
  • 全社の情報資産を定期的に評価し、脅威情報に応じて柔軟にセキュリティ対策を見直すプロセス

属人化しない体制作り

セキュリティ施策を進める上でリーダーシップと同じくらい重要なのが、属人化しない体制作りです。

セキュリティ組織の在り方は、会社の規模や事情によって様々です。例えば、大企業などでは部として独立した専門組織が存在するものの、中小規模の会社では、情報システム部門（以下、情シス）の一部としてセキュリティ機能を担うケースが多いと思います。

規模の大小に関わらず、特に注意しないといけないのがセキュリティを推進するとチームと、情シスとの協調性です。

セキュリティチームが施策を進める際に、情シスが非協力的だったり消極的だったりすると、施策の実行が難しくなるだけでなく、情シスが全体のボトルネックになりがちです。また、情シスが管理している社内インフラが塩漬けされることで、脆弱性が作られるなどのリスクも生じます。

セキュリティとコスト

セキュリティを単なるコストではなく投資と捉えるためには、経営陣が具体的な価値を理解できるように、費用対効果を明確に示すことが重要です。

• インシデントが発生した場合の被害額の試算
  • サービス停止による機会損失（例: ECサイトの1時間あたりの売上）
  • ブランド価値の低下（例：株価の下落）
• リスク軽減の価値向上
  • 脅威の検知率向上（従来のシステムでは検知できなかった攻撃）
  • Incident Responseの改善（例：攻撃の発見から封じ込めまでの平均時間を、従来の○○時間から○○時間に短縮など）
• 業務効率化
  • 運用工数の軽減（例：アウトソーシングしている工数について、従来の○○時間から○○時間に短縮など）
  • リモートワークの安全性向上（SASEやゼロトラストの導入）
• 他社事例
  • 他社の事例や業界ベンチマーク

経営陣に対する説明は、定性的な話ではなく、定量的な数値を用いることが重要です。被害額やリスク軽減の価値、ROI³などをわかりやすく提示することで、セキュリティを単なるコストではなく戦略的な投資として、理解してもらえるのではないでしょうか。

クラウド環境におけるセキュリティ対策

近年、クラウド環境の設定不備などを検出することを目的とするSaaS型のセキュリティソリューションが増加していると思います。

クラウドのセキュリティ対策を実装するにあたり外部のサービスを使用することなく、クラウドサービスが提供している既存のCNAPP⁴機能などを用いたセキュリティソリューションを活用することで、効果的なセキュリティ対策を実現することは可能です。

しかし、クラウドサービスが提供するサービスによっては、高いコストが発生するため、使用する際は十分な注意が必要です。

セキュリティソリューション

各種クラウドサービスでは、CNAPPを実現するためのサービスを展開しています。

AWSでは、AWS環境全体のセキュリティ状況を可視化できるAWS Security Hubや脅威検出のAmazon GuardDutyが存在します。

AWS Security Hubは、さまざまなセキュリティサービスのデータを統合し、コンプライアンスや脆弱性に関するレポートを提供します。また、Amazon GuardDutyは、ログやトラフィックデータを分析して異常を検出する脅威検出サービスです。これらを組み合わせて活用することで、AWS環境におけるセキュリティレベルを高めることが可能です。

AWS以外のサービスだと、Google Cloudの場合、Google Cloud Security Command Center（以下、SCC）やAzureのMicrosoft Defender for Cloudなどが主流です。Oracle Cloud InfrastructureのCloud Guardは無料で利用できます。

クラウドサービス	セキュリティソリューション	URL
AWS	Amazon GuardDuty	Amazon GuardDuty の料金
AWS	AWS Security Hub	AWS Security Hub の料金
Azure	Microsoft Defender for Cloud	Microsoft Defender for Cloud の価格
Google Cloud	SCC	Security Command Center の料金
Oracle Cloud Infrastructure	Cloud Guard	クラウドセキュリティの価格

本記事で紹介しているのは一部のサービスであり、基本的には従量課金のサービスが多いものの、見積もりしにくいのが特徴です。なお、SCCについては固定料金で利用できるプランが存在するものの、安くはありません。

従ってセキュリティ対策を評価する際は、コストや運用負荷などのバランスを慎重に検討する必要があります。

組織が成熟するにあたってCCoEやFinOpsの考え方が重要になってきます。CCoEやFinOpsについては、以前書いた以下の記事をご参照ください。

• 「CCoEを一から構築する　AWSのセキュリティ・ガバナンス・コスト最適化を実現するためのクラウドジャーニー」
• 「CCoE + 1.0　変化への適応と成長」
• 「FinOpsとは　クラウド利用のコスト最適化を本質的に考えるために知っておくべきワード」

Attack Surface Management

Attack Surface Management（以下、ASM）は、攻撃者の視点で外部から到達可能な組織の情報資産を収集及び評価するプロセスです。

OSINT情報を基に外部公開されているIT資産を発見するプロセスとして、ShodanやCensysなどのサービスが有名です。

ASMは、クラウドセキュリティを高めるために重要なプロセスです。ASMを活用するためのヒントについて、以下に記載しています。

クラウドリソースの管理

ASMを行う場合、IPアドレスやドメイン、オブジェクトストレージ、外部からアクセス可能なクラウドリソースの管理を適切に行うことが重要です。

例えば、IPアドレスやドメイン情報を適切に把握及び管理ができていない場合、検出した情報資産について調査を行うにあたり管理者の特定に時間を要します。

定期的なスキャン

クラウド環境では、新しいリソースが頻繁に作成され、意図せず公開されるケースも少なくありません。

従って外部からアクセス可能なクラウドリソースは、定期的にスキャンして把握することが重要です。

CensysはIPアドレスを公開しているため、Censysからのスキャンをブロックすることで、情報収集を防ぐこともできます。詳細については以前書いた「Censysのスキャンをブロックする方法」をご参照ください。

脅威インテリジェンス

サイバーセキュリティを考慮してクラウドセキュリティを考えるためには、脅威インテリジェンスは欠かせない要素です。

脅威インテリジェンスに関連するサービスも色々ありますが、コストが非常に高いため、国内で脅威インテリジェンスサービスを利用している組織は、大規模な組織など限られているのではないかと思います。

しかしながら、外部サービスに頼らくても、公開されている情報や既存のセキュリティツールを活用することで、脅威インテリジェンスを活用することは可能です。

脅威ハンティング

例えば、IoCのブラックリストやMITRE ATT&CK Navigatorなどの情報を基に、脅威ハンティングを行うことで、コストを抑えながらもリスクに対応できる環境を構築することができます。

脅威ハンティングについては以下は以前書いた「脅威ハンティングの考え方」をご参照ください。

Endpoint Detection and Response

昨今、エンドポイントを保護する仕組みとして、Endpoint Detection and Response（以下、EDR）の重要度が高まってきています。

従来のEndpoint Protection Platform（EPP）は、主にウイルスやマルウェアの予防を目的としたセキュリティソリューションになるため、シグネチャベースの検知を中心にリアルタイムで脅威を防ぐ役割を果たしてきました。

しかし、近年のサイバー攻撃は高度化しており、ゼロデイ攻撃やファイルレスマルウェアのような従来の検知手法では防ぎきれない脅威が増加しています。このような状況を背景として、EDRが注目されています。

最近の製品は、マネージャーとエージェントの様な構成ではなく、EDRを端末に導入することで、クラウド上に用意された管理ポータルを利用する形態が一般的になりつつあります。このクラウドベースの管理ポータルは、エンドポイント全体の状況を一元的に管理及び運用を効率化するための機能を提供します。

EDRを導入する上での課題

クラウドセキュリティ戦略を考えるにあたりエンドポイントの保護も重要な要素です。

EDRは、導入したら終わりではありません。検知したインシデントやアラートの分析及びライセンス管理や端末の管理など運用は多岐に渡ります。また、製品毎に分析方法やインテグレーション機能は異なるため、使用する製品に応じたスキルの習得が必要です。

Windows製品の場合、Microsoft Defender for Endpointが提供されています。

Microsoft Defender for Endpointを例にすると、タイムラインの理解や効率よく分析するためには、Windowsアプリケーションの起動シーケンスやKusto Query Language（KQL）の知識が必要になってきます。

管理的セキュリティ

生成AIを使用するためのルール作り

2024年も注目され続きもはやツールとして定着している生成AIですが、日本は生成AIに特化した法規制の動きは欧米と比べて遅れているのが現状です。

ミクロな視点で見た場合、会社などでガイドラインを作っている企業もあれば、まだ生成AIに関する明確なガイドラインを整備できていない企業も多いのではないかと思います。

参考までに総務省が公開している令和6年版　情報通信白書の「特集②　進化するデジタルテクノロジーとの共生」- 「第5章　デジタルテクノロジーの浸透」-「第1節　国民・企業における利用状況」-「1　生成AI」-「（2）　企業向けアンケート」を見ると、日本は諸外国に比べて「積極的に活用する方針である」の数字について低いことが分かります。

従って企業では、生成AIの活用を推奨しつつ、データの取り扱いや出力された情報の精査について、具体的なルールを整備することが重要になってきます。

生成AIに関する課題としては、利用時に入力したデータが外部に漏えいするリスクがあるため、データプライバシーの保護や機密情報の漏えい対策が重要です。また、生成された内容が既存の著作物と類似している場合、著作権侵害や知的財産権の侵害といった法的リスクが考えられます。

このように、生成AIの活用には多岐にわたる課題が存在しており、これらに対する適切な対策が求められます。

その他

クラウドセキュリティに間接的な影響を与えると思われるトピックについて、以下に記載しています。

生成AIを悪用した攻撃

フィッシングメールなど生成AIを悪用したサイバー攻撃が増加しています。

また、最近ではjailbreakingやprompt injectionとは異なるLLM Flowbreakingと呼ばれる攻撃が注目されています。

以下は米国におけるスタートアップのKnostic社によって公開されているブログ記事です。

We propose that LLM Flowbreaking, following jailbreaking and prompt injection, joins as the third on the growing list of LLM attack types. Flowbreaking is less about whether prompt or response guardrails can be bypassed, and more about whether user inputs and generated model outputs can adversely affect these other components in the broader implemented system.

サプライチェーン攻撃

2024年3月29日に発見されたXZ Utilsの脆弱性（CVE-2024-3094）などを踏まえて、サプライチェーン攻撃によるソフトウェアに対する改ざんが課題になっていると思います。

XZ Utilsの事例では、攻撃者がメンテナに信頼される立場を獲得した上で、悪意のあるコードを公式リポジトリに埋め込みました。結果、ビルド済みバイナリだけでなく、ソースコードそのものが汚染されている状態になりました。

最近では2024年12月4日、約6,000万回ダウンロードされている人気のAIライブラリであるUltralyticsの悪意のあるバージョン⁵がPython Package Index (PyPI)に公開されました。このパッケージには、XMRigコインマイナーをダウンロードするコードが含まれていました。なお、プロジェクトのビルド環境への侵入は、以前に報告されたGitHub Actionsのスクリプトインジェクションを悪用する形で実現されました。

この様な事例を踏まえて、ソフトウェアを開発する側だけでなく、利用する側についても以下の様な課題が浮き彫りになっています。

ビルド時の認証及び再現性

• 署名やハッシュの欠如
  • ビルド時に利用する依存パッケージやコードが真正であることを証明する署名やハッシュ値の検証が不十分な場合、改ざんされたパッケージが混入するリスク
• リポジトリの信頼性
  • タイポスクワッティングやリポジトリの乗っ取りなど

CI/CDパイプラインのセキュリティ

• ビルド環境の汚染
  • CI/CDパイプラインの実行環境が攻撃者に侵害されると、ビルドされたソフトウェアに悪意のあるコードが挿入される危険性
• 証明書やシークレットの漏えい
  • CI/CD環境で認証に使われる秘密鍵やトークンの漏えいなど

クラウドの認証情報管理は、課題になりやすいです。詳細は「サイバーセキュリティの観点で考えるメールセキュリティ」の記事をご参照ください。

SBOM

2024年8月29日、経済産業省よりSBOM（ソフトウェア部品表）を導入するメリットや実際に導入するにあたり認識・実施すべきポイントをまとめた手引書の改訂版が策定及び公開されています。

• サイバー攻撃への備えを！「SBOM」（ソフトウェア部品構成表）を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました

国内でも注目度が高まってきているSBOMですが、まだまだ実用化している組織は多くないと思います。

引き続き2025年以降もソフトウェア開発への影響が考えられるため、キャッチアップが必要になってくるでしょう。

SBOMについては以前書いた「セキュアなソフトウェア開発　背景から理解するSBOM入門」の記事をご参照ください。

おわりに

セキュリティという抽象的な課題に取り組むためには、高い視座、広い視野、そして多角的な視点が求められます。

哲学者フリードリヒ・ニーチェの言葉に、以下の有名なフレーズがあります。この言葉は、「事実というものは存在しない。存在するのは解釈だけである。」という考え方を象徴しています。

There are no facts, only interpretations.

セキュリティインシデントが発生して、侵害や攻撃の被害を受けた場合「なぜ侵害されたのか？」を検討する際に、真実を突き止めることが重要ではないという考え方もできます。

ビジネスの現場では、限られた時間の中で正確に近い解釈を導き出し、それを基に迅速な意思決定を行うことが求められます。

参考

• What Is SASE?
• What Is SASE (Secure Access Service Edge)?
• What is Security Service Edge (SSE)?
• What is security service edge (SSE)?
  
• セキュア アクセス サービス エッジ (SASE) とは?
• 2024年に生成AIがサイバーセキュリティにもたらす影響
• Data Governance in DevOps: Ensuring Compliance in the AI Era
• Ultralytics AI Library Compromised: Cryptocurrency Miner Found in PyPI Versions

1. 2019年にGartnerによって提唱されたセキュリティモデル ↩

2. NISCによって定義されている方策（参考：情報システムに係る政府調達におけるセキュリティ要件策定マニュアル） ↩

3. Return On Investmentの略称、日本語では「投資収益率」や「投資利益率」と訳される ↩

4. クラウドネイティブなアプリケーションを保護するための包括的な概念（参考：What is Cloud-Native Application Protection Platform (CNAPP)） ↩

5. 8.3.41 ↩